Kínaiak és oroszok támadnak bennünket

Azóta, hogy december 10-én kiderült. az Apache Foundation Log4j naplózóeszközének első sebezhetősége, további sebezhetőségeket fedeztek fel. A szervezeteknek világszerte gyorsan kellett felmérnie és kezelnie a veszélyeztetettségét a csaknem naponta változó útmutatások mellett. Az exploit-kísérletek lenagyobbrészt Kínából és Oroszországból származik. A védekezés egyetlen biztos módja a szoftver frissítése. (A nyitó kép forrása: labyrinthit.com)

A Sophos a Log4j esetén egy globálisan elosztott infrastruktúrából származó, szkennelésre és visszaélésre tett kísérleteket észlel. Arra számítanak, hogy ez a magas intenzitású tevékenység folytatódni fog a sebezhetőség sokrétű jellege és a szükséges javítások nagy mértéke miatt.

A december 15-i csúcs óta a Sophos nem tapasztalt érzékelhető csökkenést az exploit (=parancssorozat, amely alkalmas egy szoftver vagy hardver biztonsági résének, illetve hibájának kihasználására)-kísérletekben, a visszaélések egy globálisan elosztott infrastruktúrából származnak. Esetenként egy kérés egy bizonyos földrajzi régió IP-címéről jön, beágyazott URL-ekkel a Log4j-nek, amely máshol lévő szerverekhez kapcsolódik ­- néha több különböző szerverhez. És bár ezek egy része jóindulatú tesztelés vagy penetration testerek által végzett „kutatás”, a nagyobb részük káros célú.

A Sophos szerint az exploit-kísérletek 59%-a arra próbálja rávenni a Log4j-t, hogy indiai internetcímekkel lépjen kapcsolatba. A visszaélési kísérletek 40%-a egyesült államokbeli internetes címekkel próbálja összekapcsolni a Log4j-t. Az exploit kérések több, mint hét százaléka az Interactsh eszköz doménjébe irányult – az US infrastruktúra teljes forgalmának 18%-a.

Az alábbi ábrán szereplő számok több, mint 100%-ot tesznek ki, mivel az exploit-kísérletek egy része több URL-t használt különböző célpontokkal.

Az exploit C2 URL-ek helyei

Maguk az exploit-kísérletek többségében Kínából és Oroszországból erednek, és e kísérletek nagyrésze a kiberbűnözéshez kötődik. Egy oroszországi szerver, amely a Kinsing cryptocoin-bányász botnethez kapcsolódik, a Sophos által tapasztalt visszaélési próbálkozások több, mint tizedéért felelős – az ebből az országból érkező forgalom több, mint 33%-áért.

Ebbe nem tartozik bele az a forgalom, amelynek forrását virtuális magánhálózatok használatával rejtik el; statisztikailag számottevő mennyiségű forgalom ment keresztül például a NordVPN panamai kilépési pontján.

Az exploit kísérletek IP-címeinek forrásai

Amikor megjelent a Log4j első javítása, az Apache csapata számos kerülőmegoldást kínált a visszaélés megakadályozására. Ám ezek a javítások vitathatónak bizonyultak, mivel további sebezhető pontokat fedeztek fel.

Az exploit elleni védelem egyetlen biztos módja – akár távoli kódvégrehajtás, akár DoS előidézése esetén – a szoftver frissítése,

hogy a Log4j jelenlegi „biztonságos” verzióit használja (2.17.0 a Java 8-hoz, 2.12.3 a Java 7-hez). A sebezhető kereskedelmi termékek listáját több kormányzati informatikai biztonsági ügynökség vezeti, beleértve az Egyesült Államok kiberbiztonsági és infrastruktúra-biztonsági hivatalát, a CISA-t is. A szervezeteknek a lehető leggyorsabban fel kell mérniük a szoftvereik sebezhetőségét és telepíteniük kell a frissítéseket, amikor csak lehetséges.

Ahol még nem érhetőek el a javítások, a hálózati szűrő házirendek védelmet nyújtanak a meglévő exploit célú forgalom nagy százaléka ellen – de nem garantálnak védelmet az újonnan megjelenő fenyegetésekkel és a nagy mértékben célzott támadásokkal szemben – összegzi a Sophos.